ISMSでは「情報資産(事業活動に影響する電子データや紙媒体)」に着目して関連資産を洗い出しますが、Pマークでは「個人情報」に着目して洗い出しを行います。
規格対応箇所
J.3.1.1 個人情報の特定
用語の説明
個人情報
個人情報保護法での定義は以下の通りです
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの
要約すると👇
- 生存する個人に関する情報
- その情報に含まれる氏名、生年月日などにより特定の個人を識別することができる
- 個人識別符号が含まれる
要求されていること
- 個人情報取得前の、取得方法の社内承認(個人情報管理基準一覧表にて)
- 個人情報取得後の、取り扱い方法の社内承認(個人情報管理台帳にて)
の文書作成をしていくことになります。
個人情報管理台帳については以下が求められます。
- 事業者が取り扱う全ての個人情報を漏れなく特定できる手順を確立(規定)して文書化すること
- 事業者が取り扱う全ての個人情報を明らかにすること
- 個人情報保護リスクを認識する作業(リスクアセスメント)の前提の作業
- 個人情報保護リスクの見落としを回避できる
必須項目1(個人情報管理基準一覧表)
- 個人情報名
- 要配慮個人情報の存否
- 取得方法
- 責任者
- 利用目的
- 連絡または接触有無
- 提供有無(委託 / 承継 / 共同利用 / 第三者提供)
- 提供目的
- 提供先(エリア / 名前)
- 本人への取得前の案内方法(同意 / 通知・公表 / 不要)
必須項目2(個人情報管理台帳)
- 個人情報名
- 個人情報の項目(氏名 / メールアドレス / 電話番号 etc)
- 利用目的(従業員管理 / 勤怠管理 / 営業活動 etc)
- 保管場所(HWやSWや拠点を紐付ける)
- 保管方法(ID・パスワード / 各自管理 etc)
- アクセス権を有する者(利用可能な範囲)
- 利用期限(退職まで / 契約終了まで etc)
- 保管期限(例えば契約終了後、何年間保管するか)
追加で含めてもいい要素(SecureNaviでは必須入力としている)
- 件数(数量)
- 廃棄方法(データ消去 / シュレッダー処理 / 文書溶解処理)
追加で含めてもいい要素(SecureNaviでは入力欄を設けていない)
- 本人同意の有無(個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示。必要に応じて同意がとられていることを前提としているため)
こちらは必要に応じて備考欄へ記載ください。
その他入力項目
- 主管組織:リスク管理をするメイン担当の組織を入力し、フィルタリングなどにご活用ください(各種台帳には表出されません)。資産で「組織」を作成すると選択できるようになります。
- 機密分類:基本的には「社外秘」でOKですが、特に重要度が高いと判断するものは「機密」としてください
やること
個人情報の登録
「資産を登録」ボタンから登録を進めます。
ISMSと機能を併用している場合は、上部の「この資産をPマーク適用対象にもする」にチェックを入れます。カテゴリ「情報」を選択いただくと、上記の必須入力内容が登録可能になります。
SecureNaviでは以下の個人情報の一括登録ができます。
- 社員情報
- 人事:社員名簿、人事評価シート
- 採用:履歴書・職務経歴書、雇用契約書、誓約書
- 給与:給与明細、源泉徴収票、給与振込先情報
- 労務:勤怠情報、入退室情報
- 社保等:マイナンバー、年金手帳、雇用保険被保険者証、健康診断の診断結果
- 教育:教育テスト結果
- 顧客情報
- 営業:同意書、アドレス帳(電話番号)、アドレス帳(メール)、取引先情報、名刺
- 総務経理:請求書、来客記録、問い合わせ・苦情・相談・開示請求等情報
「資産を登録」ボタン押下後、「サンプルから一括登録する」を活用して登録を進めてください。
個人情報に対しては、同意取得要否や利用期限など、管理項目を記載する必要があります。
詳細は「PMS個人情報についての入力項目詳細」をご覧ください。
文書の作成、承認
個人情報の登録が終わりましたら、「個人情報管理基準一覧表」「個人情報管理台帳」の文書を個人情報保護管理者にて承認しましょう。
リスク管理のための資産登録
資産登録するカテゴリは6つあります。リスク管理の観点で、例えばアクセス権の管理に対するリスクは「3.ソフトウェア」に紐づけて管理できるようにしています。1~6まで登録を進めてください。
(登録内容サンプルを閲覧したい方は、閲覧環境を共有いたしますので、弊社担当者へお問合せください。)
1~6まで作成が完了したら、「1.情報」に対して、情報を紐づけていきましょう
1~6の記載例は「PMS情報資産登録の項目説明(カテゴリの種類)」をご覧ください。
よくある質問
個人情報管理台帳は帳票などの単位で洗い出せばいいの?
はい。例えば従業員が入社時に取得した入社書類の情報をもとに、給与明細書を作成するなど、入手元の情報が同一だとしても、存在している(保管している)情報単位で洗い出す必要があります。
個人情報の取り扱いは、ざっくりいうと「目的通りに使われているか(内的)」「漏洩などに対する安全対策ができているか(外的)」が重要で、両方を満たすためにはこの単位で洗い出す必要があります。
個人情報管理基準一表と個人情報管理台帳の違いを詳細に知りたい
両者の違いは、個人情報取得前 か 個人情報取得後 という点です。
個人情報を取得する際、Pマークで求められるのは(要約すると)「取得する前に、個人情報保護管理者によって取得目的や取得方法が適切かを判断する」という必要があります。
そのため、「個人情報管理基準一覧表」にて、利用目的、提供の有無、本人への同意の必要性を表出させ、個人情報保護管理者がそれを承認する、という記録を作成する意味合いになります。
一方「個人情報管理台帳」は取得後の管理方法を司っておりまして、
そのため「個人情報管理台帳」で表出するのは、保管期限や保管場所となっている、という違いです。
数量はどれくらい厳密に記載する?
結論、厳密でなくてもOKです。審査申請時の目安になる数字ですので、リアルタイムに数量感を表す必要はありません。
保管期間と利用期限の違いは?
JIS Q 15001:2017 A.3.3.1で明確に分けて使われています。 大体の記録は利用期間=保管期間になりますが、 法令などで保管期間が定められていると期間が異なることがままあります。
例:履歴書
・利用期間:採用選考時や在職中
・保管期間:退職後5年間
(根拠:労働基準法109条(保管期間)、労働基準法施行規則56条3項(保存期間計算の起点))
詳細は以下の通りです。
(下記内容は全ての法令をカバーしているものではありません。事業に関連する法令にて、他の制約があるかご確認ください)
書類名 | 起算日 | 保管 期限 |
法律等 |
源泉徴収帳簿 |
書類提出期限の年の |
7年 | |
注文書 | 書類提出期限の年の 翌年1月11日から |
7年 |
|
見積書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
契約書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
給与所得者の扶養控除等(異動)申告書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
従たる給与についての扶養控除等(異動)申告書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
給与所得者の配偶者控除等申告書 |
書類提出期限の年の翌年1月11日から | 7年 |
|
給与所得者の基礎控除申告書(令和2年分以降) | 書類提出期限の年の翌年1月11日から | 7年 |
|
給与所得者の保険料控除申告書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
所得金額調整控除申告書(令和2年分以降) | 書類提出期限の年の翌年1月11日から | 7年 |
|
退職所得の受給に関する申告書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
公的年金等の受給者の扶養親族等申告書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
給与所得者の(特定増改築等)住宅借入金等特別控除申告書 | 書類提出期限の年の翌年1月11日から | 7年 |
|
賃金台帳 | 最後の記入をした日 | 5年 | |
従業員の履歴書 | 労働者の死亡、退職または解雇の日から | 5年 |
|
労働者名簿 | 労働者の死亡、退職または解雇の日から | 5年 |
|
雇用契約書 | 労働者の死亡、退職または解雇の日から | 5年 |
|
労働条件通知書 | 労働者の死亡、退職または解雇の日から | 5年 |
|
解雇通知等 | 労働者の死亡、退職または解雇の日から | 5年 |
|
出勤簿(タイムカード)、残業命令書など、労働時間の記録に関する重要な書類 | 最後の記入日 | 5年 |
|
時間外・休日労働協定届(36協定) | 最後の記入日 | 5年 |
|
災害補償に関する書類 | 災害補償を終わった日 | 5年 |
|
災害補償に関する診断書 | 災害補償を終わった日 | 5年 |
|
災害補償の支払書 | 災害補償を終わった日 | 5年 |
|
賃金決定関係書類 | 完結の日 | 5年 |
|
昇給辞令 | 完結の日 | 5年 |
|
療養(補償)等給付たる療養の給付 | 労災保険給付が完結した日 | 3年 |
|
(労働)保険関係成立届 | 徴収・納付・還付が完結した日 | 3年 | |
労働保険概算保険料申告書 | 徴収・納付・還付が完結した日 | 3年 |
|
雇用保険被保険者資格取得等確認通知書 | 労働者の死亡、退職または解雇の日から | 4年 |
|
雇用保険被保険者関係届出事務等代理人選任・解任届 | 労働者の死亡、退職または解雇の日から | 4年 |
|
離職票 | 労働者の死亡、退職または解雇の日から | 4年 |
|
雇用保険に関する書類(被保険者以外) | 労働者の死亡、退職または解雇の日から | 2年 |
|
健康診断個人票(雇入健康診断、定期健康診断両方) | 作成日から | 5年 |
|
健康保険・厚生年金保険標準賞与額決定通知書 | 労働者の死亡、退職または解雇の日から | 2年 |
|
健康保険・厚生年金保険資格喪失確認通知書 | 労働者の死亡、退職または解雇の日から | 2年 |
|
健康保険・厚生年金保険被保険者標準報酬決定通知書 | 労働者の死亡、退職または解雇の日から |
|
|
(従業員との)誓約書 | 作成日 | 5年 |
|
マイナンバー(個人番号) |
労働者の死亡、退職または解雇の日から 番号法で限定的に明記された事務の処理が完了する時まで or 所管法令にて、マイナンバーを用いる事務に関する書類の一定期間保存の義務が完了する時まで |
- |
|